L’authentification forte à la lumière d’un arrêt de la chambre commerciale de la Cour de cassation en date du 30 août 2023
L’authentification forte à la lumière d’un arrêt de la chambre commerciale de la Cour de cassation en date du 30 août 2023
Faits :
Monsieur X en réponse à un appel téléphonique et à un message, avait communiqué à un tiers, qu’il pensait être un employé de la Banque, auprès de laquelle il a ouvert un compte, le code à six chiffres destinés à valider les paiements par internet à partir de ce compte et qu’à la suite de cette communication, un tel paiement, non réalisé par lui avait été effectué. Monsieur X a demandé à la banque de lui rembourser la somme qui avait été prélevée et de réparer son préjudice.
Un consommateur a-t-il la possibilité se faire rembourser la somme prélevée pour une opération dont il n’est pas l’auteur ?
La réponse à cette question nous amène à nous interroger sur les obligations des établissements bancaires. Il ressort de l’article L.133-9 V du Code monétaire et financier que la responsabilité du consommateur ne peut être engagée lorsque l’opération de paiement non autorisé a été effectuée en détournant à son insu l’instrument de paiement ou les données qui lui sont liées. En effet, cet article dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L3133-17 du Code monétaire et financier. En l’espèce, la Cour de cassation a souligné que la Cour d’appel, en rejetant la demande de monsieur X, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, n’a pas donné de base légale à sa décision.
L’authentification forte de paiement : De quoi s’agit-il ?
La deuxième directive européenne sur les services de paiement DSP2 a introduit l’authentification forte pour les paiements en ligne de plus de 30 € afin de lutter contre les fraudes et mieux protéger les consommateurs. Sa transposition en droit interne prévoit en application de l’article L.133-4 du Code monétaire et financier, la mise en place d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », possession et inhérence et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’objectif poursuivi est ainsi de disposer d’un dispositif de vérification d’identité pour apporter d’avantages de sécurité aux consommateurs et aux commerçants. Il peut s’agir d’un accès au compte ou encore de paiement.
Les établissements bancaires mettent à la disposition de leurs clients plusieurs solutions de sécurité suivant leurs équipements et leurs habitudes. Concrètement, cette authentification se traduit par la mise en place d’un certain nombre de solutions. Il s’agit tout d’abord de celle par application mobile. L’authentification passe par la saisie d’un code personnel ou par la prise d’empreinte biométrique pour les mobiles équipés, par l’empreinte digitale ou encore par une reconnaissance faciale. Cette authentification permettra de valider le paiement. Parallèlement à cela, les banques se voient reconnaitre une obligation de proposer d’autres moyens d’authentification aux clients ne disposant pas de smartphone compatible avec l’application mobile. En ce sens, les établissements bancaires peuvent communiquer un code d’authentification envoyé par sms ou par un serveur vocal associé à un code personnel. Le consommateur sera alors amené à valider la transaction sur internet en saisissant dans deux champs distincts le code reçu par sms ou serveur vocal et le code statique qui lui a été transmis par sa banque. Enfin, il existe une autre solution qui réside dans l’utilisation d’un appareil physique mis à disposition par la banque. Cette dernière option vise surtout les clients sédentaires et nécessite un support indispensable à la bonne prise en main de l’appareil mis à la disposition du client.
L’authentification forte doit-elle s’appliquer à toutes les opérations ?
La règlementation prévoit trois situations dans lesquelles, l’authentification forte s’applique. Elle s’applique pour la validation de la plupart des paiements en ligne, l’accès à l’espace client et à la réalisation d’opérations en lignes qualifiées de sensibles telle que la modification des coordonnées personnelles.
L’authentification forte concerne-t-elle uniquement les établissements bancaires ?
La mise en place de mesure d’authentification forte concerne les banques mais également les prestataires de services de paiement à savoir les établissements de paiement ou monnaie électronique. Sont également concernés les initiateurs de paiement ainsi que les services de paiement mobiles.